onur

Görüşler

2
onur

Göründüğü kadarıyla SHA1 çakışması bunun yanında devede kulak bir güvenlik açığı oldu. Tüm interneti "MITM" üzerine inşa edip bunun üzerine iş kuran ve tek politikası "bize güvenin" olan Cloudflare sayesinde artık kullandığınız hiçbir şifre veya SSL oturumu güvende değil.

Konu hakkındaki diğer tartışma başlıkları: reddit, hn.

Etkilenen sitelerin bir listesini github.com adresinde bulabilirsiniz.

Cloudflare'in cevabını da blog.cloudflare.com adresinde bulabilirsiniz.

1
auselen

Bu problem anlik olarak daha onemli ama, sha-1 uzun vadede daha problemli diye dusunuyorum.

1
FZ

Torvalds surada bir seyler yazmis buna dair: https://plus.google.com/+LinusTorvalds/posts/7tp2gYWQugL

1
auselen

Burada bir elestirisini gördum: https://news.ycombinator.com/item?id=13733812

Yani dunya cökmuyor da, git'i kaynak kod dagitimi vs icin kullanan yerler var. Bu tur sistemlere birseyler asilamak herhalde daha olasi olmustur.

1
csenol

https://news.ycombinator.com/item?id=13719250. Bu comment'de en basitinden anlatilmis/tartisilmis duruma

1
FZ

İnsan kafayı yer arkadaş!

1
FZ

Twitter'da biri sunu yazmisti: "C is a DSL to turn byte arrays into security advisories."

1
auselen

Yazik C'ye.

Saka bi tarafa Ragel ile de tanismis olduk boylece. Napmislar Null-terminator'u mi silmisler?

Problemi kendi yakalamamalari acayip bi problem. Bence en buyuk sorun o. Insan bir taraftan dusunuyor tabi, boyle kac vakka yasaniyor da, sadece bir iki tanesi boyle su yuzene vurulacak kadar savsaklaniyor.

1
FZ

Yukaridaki ekran goruntusunu aldigim yazi surada: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ "bizim Ragel'i kullanma seklimizde hata var," filan demisler. Uretilen C kodunu statik analize ne denli tabi tuttular, onu tam anlamayadim.

1
auselen

Gormustum yaziyi da, pek begenip okumamistim dogrusu. Simdi artik kasip okudum biraz daha. Daha once de ayni cumle midemi bulandirmisti simdi de tekrar dikkatimi cekti, insan muhendislik etigini sorguluyor:

"The engineers working on the new HTML parser had been so worried about bugs affecting our service that they had spent hours verifying that it did not contain security problems."

Evet yani muhendisler koda saatlerce bakinca is cozuluyor. Artik guvenebiliriz, cunku guvenlik acigi yokmus. Niye cunku saatlerce bakmislar :)

C'ye laf carpmaya gerek yok bizim tarafimizdan, hatayi yapan C degil. C uzerinden de boyle bi pointer sola attik bi saga attik onceden kornerden yemistik simdi defans oynuyoruz demek de suyu bulandirmaktan baska bir ise yaramiyor. Duzgun kod yazamayacagini kabul edip, daha guvenli sistemler kullanmayi tercih etmek ya da daha temiz katmanli calismanin nesi kotu? Dertleri buyuk ihtimalle performanstir, lakin bu rezilligede dusmek, insanlarin bilgilerini sacmak herhalde kazandiklari toplam performansa degmemistir. Gerci bunlarin yaptigi is cache degil mi? Yani o kod, topu topu bir kez calismiyor mu her sayfa icin, zamana bagimli olsa da?

Statik analizle birsey olur muydu bilmiyorum bu arada. C'de genelde öyle seyleri yakalamasi pratikte imkansiza yakin. Heartbleed'i hatirliyorsaniz, acik-kaynak kod, tum C kod analiz firmalarinin hava attigi zamanlar. Heartbleed cikti, hic biri yakayamiyordu. Ciktiktan sonra bir sablon koydular tabi, artik o tek problem yasanmaz herhalde. Geriye kaldi ∞-1.

1
FZ

"Part of the infosec team started fuzzing the generated code to look for other possible pointer overruns." -> Benim buradan anladigim simdiye dek o 'generated C code' kismina pek guvenlik sapkasi takip bakmamislar. "Calisiyor mu, calisiyor, hizli mi, hizli, e o halde isimiz gucumuz var, hayat devam ediyor" seklinde gitmisler gibi.

1
auselen

IBM kismini daha cok begendim ben, bildigim birseydi de bu sekilde adlandirildigini bilmiyordum.

"Research by IBM in the 1960s and 1970s showed that bugs tend to cluster in what became known as “error-prone modules”. Since we’d identified a nasty pointer overrun in the code generated by Ragel it was prudent to go hunting for other bugs."

Gerci yine ayni problem, kodun baska yerinde baska bir hata yine vardir. Oralara bakmiyorlardir, sanirim makalenin bir yerinde eski-yeni kod parcaciklari diyordu. Daha once kullanilmayan parcalar, aciga cikmayan sorunlar boyle durumlarda cikiyor.

Tekrardan dedigim gibi ben muhendislik etiginde problem oldugunu dusunuyorum. Yaptiklari isin ciddiyetine yakisir sekilde calismamislar.

1
FZ

Mühendislik etiği deyince aklıma şu iki yazı geliyor hep:

Ve sonra şirketlerin iç işleyişlerini düşünüyorum: tepedeki yöneticilerden yaptıkları planlarda güvenlik kontrolleri, analizleri, vs. için ne kadar bütçe ayırıyorlar? Yöneticilerin yöneticileri... Ne tür baskılar, ticari durumlar, vs.

Evet, bir kez skandal kafaya dank edince, kaça patladığı anlaşılınca geriye dönük olarak "neden filanca tedbirleri almadınız?" demek kolay oluyor, diğer yandan işler "yolunda giderken" biri çıkıp "filanca şeyleri kullanalım" dese muhtemelen "kar zara analizi" yapıp reddedecek epey birileri oluyordur tepede. Tabii o esnada bu tür bir "skandal" nurlu ufuklarda doğmamış güneş kategorisinde, kimsenin de bu zaten olmuş gibi maliyet hesapladığı yok demek ki.

Çözüm nedir, bilemiyorum. Kanunları değiştirmek? Tepedeki yöneticilerin kabus görmesine yetecek resmi düzenlemeleri, cezaları getirmek? Bunun yol açacağı bilinçlenme ve bunun tetikleyeceği daha iyi süreçler, daha düzgün araç kullanımları, vs.?

1
auselen

Cozum mu? Cozum Feynman!

https://youtu.be/4kpDg7MjHps?t=2m32s

1
FZ

"Geriye kaldi ∞ - 1."

1
FZ

Evet, Heartbleed ve statik analiz konusu epey gundeme gelmisti vakti zamaninda, 2014'te calistigim yere Coverity sunumu yapmaya gelen amcalari bu konuda sIkIstIrdIgImI hatirliyorum :)

Su adreste, yazar Frama-C ile Heartbleed hatasinin yakalanabilecegini iddia etmis: http://blog.regehr.org/archives/1125 ama hemen ardindan gelen yorum da ilginc: ""How much effort would be required to push OpenSSL through Frama-C? I don’t know, but wouldn’t plan on getting this done in a week or three."

Sonucta ana tema degismiyor tabii, islerin arap sacina donmesi cok kolay ve paranoyak yaklasmadikca basa cikilabilecek gibi degil.

1
auselen
Görüş belirtmek için giriş yapın...

İlgili Yazılar

OpenBSD Paket Süzgeci Türkçe Kullanım Kılavuzu

anonim

PF Tcp/Ip trafiğini süzme ve ağ adres dönüşümü (NAT) sağlayan bir OpenBSD sistemidir. Bu sistemin temel ayarları ile ilgili ilk türkçe doküman yayımlandı. Söz konusu belgeye bu adresten erişilebilir.

Oyun mu oynamak istiyorsun?: Auditor Security Collection

darkhunter

Auditor, Knoppix temelli bir live-cd. Buraya kadar her şey normal değil mi? Peki, size bu saatli bombanın içinde neler olduğunu yazana kadar bekleyin :)

Gündem: Email servisleri (ve güvenlik)

e2e

FM'nin gündemi "web tabalı e-posta" servisleriyle devam ediyorken, (FZ'nin bir yorumunda yazdığı, "kendi mail sunucunuzu kurun" önerisinden de esinlenerek) güvenli bir mail servisi kurmanın yöntemlerini öğrenmek fena olmaz.

POP destekli bir mail sunucusu için belki daha ayrıntılı bir araştırma yapmak gerekir. Ama web tabanlı bir mail servisi için gerekli güvenlik adımları Secure Web Based Mail Services başlıklı bu makaleden öğrenilebilir.

Microsoft Olası JPEG Saldırısına Karşı Araç Yayınladı

anonim

Güvenlik uzmanlarının, çok büyük bir kurtçuk saldırısının yaklaştığı öngürüsünde bulunduğu bugünlerde Microsoft JPEG işleme sistemindeki GDI kütüphanesinin açıklarını tanımlayan bir "tarayıcı alet" yayınladı.

Tarama aracı MS04-028 yaması ile birlikte yayınlandı. Bu yama JPEG imaj dosyalarının işlenmesi sırasında ortaya çıkan kritik bir açığı kapatıyor. Internet Fırtına Merkezi (The Internet Storm Center - ISC) de windows kullanıcısı olmayan kullanıcılar için bir tarayıcı yayınladı.

GNU/Linux için NX yaması

anonim

Zdnet'in haberine göre Redhat ve İntel özellikle virüs ve solucanlara karşı etkili olacağı düşünülen NX (not execute) teknolojisini destekleyen bir Linux yaması yazılım yayınladılar. Microsoft'un bu desteği service pack2 ile birlikte bu yılın üçüncü çeyreğinde vermesi umuluyor. Linus Torvalds'ın bu teknolojiye olumsuz yaklaşmadığı da yine aynı makalede yer alıyor.